Sinds de EU AI Act in fases van kracht wordt, stellen Nederlandse organisaties dezelfde vragen. Mag dit nog, geldt dit voor mij, wat kost het als ik niks doe. Hieronder de twintig vragen die het vaakst worden gesteld, met korte en concrete antwoorden. Gebaseerd op de wettekst, de officiële uitleg van de Europese Commissie, en het Digital Omnibus-akkoord van mei 2026.
Eén ding vooraf, omdat het de meeste verwarring veroorzaakt. De hoog-risico verplichtingen zijn in mei 2026 uitgesteld. De AI-geletterdheidsplicht en het verbod op bepaalde AI zijn dat niet. Wie denkt dat alles is opgeschoven, vergist zich.
1. Wat is de EU AI Act in het kort?
De EU AI Act (Verordening (EU) 2024/1689) is de eerste brede AI-wet ter wereld. De wet reguleert AI op basis van risico: hoe hoger het risico voor mensen, hoe strenger de eisen. De wet trad in werking op 1 augustus 2024 en wordt in fases van toepassing tot 2028.
2. Geldt de EU AI Act ook voor mijn mkb-bedrijf?
Ja. De wet kent geen algemene uitzondering voor het mkb. Vrijwel elk Nederlands bedrijf dat ChatGPT of vergelijkbare tools gebruikt, valt onder de wet als gebruiksverantwoordelijke. Wel gelden voor mkb en startups lagere boetemaxima en zijn er ondersteunende maatregelen zoals regulatory sandboxes.
3. Is de EU AI Act uitgesteld? Moet ik nu nog wel iets doen?
Gedeeltelijk uitgesteld, maar niet wat de meeste bedrijven raakt. Op 7 mei 2026 sloten de Raad en het Europees Parlement het Digital Omnibus-akkoord. Daarin verschuiven de zware hoog-risico verplichtingen naar later. Maar twee dingen zijn niet uitgesteld: het verbod op onaanvaardbare AI (Artikel 5) en de AI-geletterdheidsplicht (Artikel 4). Die gelden sinds 2 februari 2025. Wachten is dus geen optie.
4. Wanneer gaat de EU AI Act precies in? De belangrijkste data
De wet gaat in fases in. De actuele data na het Omnibus-akkoord van mei 2026:
2 februari 2025: verboden AI-praktijken (Artikel 5) en AI-geletterdheid (Artikel 4)
2 augustus 2025: regels voor general-purpose AI-modellen
2 december 2026: watermerk-plicht voor AI-gegenereerde content (Artikel 50, lid 2)
2 december 2027: hoog-risico systemen onder Annex III (verschoven van 2 augustus 2026)
2 augustus 2028: hoog-risico AI ingebed in gereguleerde producten (Annex I)
5. Valt ChatGPT onder de EU AI Act?
Ja. ChatGPT en vergelijkbare modellen vallen onder de categorie general-purpose AI. De ontwikkelaar (zoals OpenAI) draagt de zwaarste verplichtingen rond transparantie en documentatie. Als gebruiker heb je beperkte verplichtingen, tenzij je het systeem inzet voor een hoog-risico toepassing. Dan kunnen er meer eisen gelden.
6. Wat zijn de vier risiconiveaus van de EU AI Act?
De wet kent vier niveaus. Onaanvaardbaar risico (verboden, Artikel 5). Hoog risico (toegestaan onder strikte eisen, Artikel 6 en Annex III). Beperkt risico (transparantieplicht, Artikel 50). Minimaal of geen risico (vrij gebruik, geen verplichtingen). De meeste AI die organisaties dagelijks gebruiken valt in de onderste twee categorieën.
7. Hoe hoog zijn de boetes onder de EU AI Act?
De boetes staan in Artikel 99 en kennen drie niveaus. Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden AI-praktijken. Tot 15 miljoen euro of 3% voor de meeste andere overtredingen, waaronder hoog-risico-eisen, transparantie en Artikel 4. Tot 7,5 miljoen euro of 1% voor onjuiste informatie aan de toezichthouder. Voor mkb en startups geldt telkens het laagste van de twee bedragen.
8. Wie houdt in Nederland toezicht op de EU AI Act?
Het toezicht ligt bij een combinatie van bestaande toezichthouders. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) krijgen een centrale rol, aangevuld met sectorale toezichthouders zoals DNB, AFM en IGJ. Nederland werkt aan een uitvoeringswet die de precieze taken vastlegt.
9. Wat is AI-geletterdheid volgens Artikel 4?
Artikel 4 verplicht organisaties te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die met AI werken. Dat betekent: vaardigheden, kennis en inzicht om AI verantwoord in te zetten, en bewustzijn van de kansen en risico's. De wet schrijft geen vast aantal uren of een specifiek certificaat voor. Het niveau schaalt mee met de rol, de context en het risico.
10. Sinds wanneer is AI-geletterdheid verplicht?
Sinds 2 februari 2025. Dit is geen toekomstige verplichting, maar een actieve. Het Digital Omnibus-akkoord van mei 2026 heeft deze datum niet verschoven. Organisaties moeten nu al kunnen aantonen dat medewerkers die met AI werken voldoende zijn toegerust.
11. Moet ik AI-training kunnen aantonen?
Ja. De Europese Commissie heeft via de officiële Q&A bevestigd dat organisaties moeten kunnen aantonen, niet alleen beweren, dat ze maatregelen hebben genomen. Een aanwezigheidslijst alleen is onvoldoende. Een toezichthouder wil zien dat de training paste bij de rol en het risico, en dat het programma actueel wordt gehouden.
12. Wat is het verschil tussen een aanbieder en een gebruiksverantwoordelijke?
Een aanbieder (provider) ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het onder eigen naam op de markt. Een gebruiksverantwoordelijke (deployer) gebruikt een AI-systeem in de eigen bedrijfsvoering. De aanbieder draagt veel zwaardere verplichtingen. De meeste organisaties zijn gebruiksverantwoordelijke, maar je kunt onbedoeld aanbieder worden, bijvoorbeeld door een model te fine-tunen (Artikel 25).
13. Moet ik een AI-register bijhouden?
Voor aanbieders van hoog-risico systemen is registratie in een EU-databank verplicht. Voor gebruiksverantwoordelijken is een intern register niet wettelijk verplicht, maar wel sterk aan te raden. Zonder overzicht van welke AI je gebruikt, voor welk werk en met welk risico, is geen enkele andere verplichting goed in te vullen. Het is het logische vertrekpunt.
14. Moet ik aangeven dat mijn chatbot AI is?
Ja. Onder de transparantieplicht (Artikel 50) moet voor gebruikers direct duidelijk zijn dat ze met een AI-systeem praten, niet met een mens. In de praktijk volstaat een duidelijke melding bij het openen van de chat, bijvoorbeeld een openingstekst of een herkenbare naam en avatar. Een vermelding diep in de algemene voorwaarden is niet voldoende.
15. Moet AI-gegenereerde content gemarkeerd worden?
Ja. AI-gegenereerde of bewerkte content (tekst, beeld, audio, video) moet herkenbaar zijn als AI-gegenereerd. Voor aanbieders geldt een machine-leesbare markering. De bijbehorende watermerk-plicht uit Artikel 50, lid 2 gaat in op 2 december 2026. Voor deepfakes geldt sowieso een kenbaarheidsplicht.
16. Welke AI-toepassingen zijn helemaal verboden?
Artikel 5 verbiedt acht praktijken, waaronder social scoring door overheden, manipulatie met schadelijke uitkomsten, het uitbuiten van kwetsbaarheden, ongerichte gezichtsdatabases, en emotieherkenning op de werkvloer en in het onderwijs. Het Omnibus-akkoord van mei 2026 voegt een verbod toe op AI die niet-consensueel intiem beeldmateriaal genereert.
17. Wat is een hoog-risico AI-systeem?
Een AI-systeem is hoog risico als het een veiligheidscomponent is in een gereguleerd product (Annex I), of als het in een domein uit Annex III valt. Voorbeelden uit Annex III: werving en selectie, kredietscoring, toegang tot onderwijs, kritieke infrastructuur, en wetshandhaving. Deze systemen mogen, maar onder strenge voorwaarden.
18. Geldt de EU AI Act ook voor bedrijven buiten de EU?
Ja. De wet geldt voor elk bedrijf waarvan AI-systemen of de output daarvan in de EU worden gebruikt, ongeacht waar het bedrijf is gevestigd. Een Amerikaanse aanbieder die diensten levert aan EU-organisaties valt eronder, net als de EU-organisatie die de AI inzet.
19. Geldt de wet ook voor AI die ik alleen intern gebruik?
Ja. De wet dekt AI-systemen die op de markt komen én systemen die in gebruik worden genomen, inclusief interne inzet. Een intern gebouwd of substantieel aangepast hoog-risico systeem maakt de organisatie tot aanbieder, ook zonder externe verkoop. Intern gebruik is geen vrijstelling.
20. Waar moet ik beginnen met EU AI Act-compliance?
Bij een inventarisatie. Schrijf op welke AI-systemen de organisatie gebruikt, voor welk werk, door wie, en met welk risico. Dat overzicht is het vertrekpunt voor alles wat daarna komt: risicoclassificatie, rolbepaling, training en documentatie. Zonder dit overzicht is geen verdedigbare keuze te maken. Een gratis AI-Risicoscan kan dit overzicht in vijf minuten op gang brengen.
Tot slot
De meeste vragen over de EU AI Act komen voort uit één misverstand: dat de wet pas later relevant wordt. Voor de zware hoog-risico eisen klopt dat deels, die schuiven naar 2027 en 2028. Maar de AI-geletterdheidsplicht is al sinds februari 2025 actief, en die raakt vrijwel elke organisatie die AI gebruikt.
Het goede nieuws: de eerste stap is klein. Weten wat je gebruikt, en zorgen dat je mensen weten wat ze doen. Daar begint compliance, en daar begint commercieel voordeel uit AI.
Wil je weten waar jouw organisatie staat ten opzichte van de EU AI Act? Doe de gratis AI-Risicoscan en zie binnen vijf minuten welke verplichtingen op jou van toepassing zijn en waar de gaten zitten.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.